Банкеръ Daily

Председателят на Помирителната комисия за платежни спорове и на Помирителната комисия за финансови услуги Камелия Касабова пред в. „БАНКЕРЪ”

Е-измамниците вече вадят дубликати на СИМ-картите

Визитка

Камелия Касабова е доктор по право, професор по търговско право в СУ „Св. Климент Охридски“. Работила е като директор на направление „Правно“ на Минералбанк и главен секретар на Асоциацията на банките в България.  Камелия Касабова е била заместник председател на 39 и 40 Народно събрание. Тя е председател на Помирителната комисия за платежни спорове и  председател на Помирителната комисия за финансови услуги. Автор е на десетки студии и монографии в областта на търговското и банково право. 

 

Г-жо Касабова, банковата карта ли продължава да бъде най-опасното оръжие, с което можем да се самонараним?

- Банковите карти продължават да бъдат лесно достъпен и доминиращ платежен инструмент за масовия потребител. Затова ми е трудно да ги определя като опасно устройство. Но, че можем да се самонараним чрез небрежно поведение е безспорно. Не визирам класическите случаи на неправомерно извършени операции с платежни карти на АТМ устройства – било вследствие на семейна измама, било на кражба на платежния инструмент, съхраняван заедно с неговите персонализирани средства за сигурност. Съвременната версия на самонараняването е доброволното въвеждане на персонализираните защитни характеристики на банковата карта в зловредна интернет страница, която визуално прилича на официалната интернет страница на банката или на търговец. Потребителят въвежда там и динамичния код, който получава от банката чрез SMS съобщение, но не обръща внимание на сумата и търговеца, към които нарежда плащането.  Резултатът е захранване на измамен портфейл.  Ако си е направил труда да прочете съдържанието на съобщението и да прояви грижа за собствените си дела, потребителят нямаше да нареди операцията.

Има ли адекватно законодателство, с което гражданите да се ползват в случай на нужда?

- Рисковете от измами в интернет са адресирани в законодателство и за тяхното предотвратяване беше положен изключително много труд в цяла Европа през последните 2 години. През юни Европейският банков орган публикува доклад за миграцията към двуфакторна идентификация при плащанията с карти в интернет. Докладът отчита значително увеличаване на използването на двуфакторна идентификация, което води и до силно намаляване както на броя, така и на стойността на измамите. 

Зачестяват ли сигналите за кражби през Интернет?

- Случаите на иницииране на неразрешени платежни операции по електронен път с достъпване на платежна сметка онлайн зачестяват. Но трябва да отбележим, че те все още са сравнително малко на брой. За 2020 г. в Комисията са постъпили 62 заявления, свързани с оспорени плащания към интернет търговци или чрез интернет банкиране. На фона на десетките милиони плащания в интернет, извършвани от българите всяка година тези случаи не са много. Те се различават сред останалите, поради усложнените измамни схеми, трудно разбираемата за непрофесионалния потребител технологичност на операциите, както и немалката стойност на неправомерно усвоените средства.

Сред тях се открояват случаите на инсталиране на мобилно приложение за дистанционно разплащане. Потребителите стават обект на фишинг атаки, получавайки имейл с линк към фалшив сайт. Там те въвеждат потребителско име и парола за достъп и номер на мобилен телефон. За потвърждение на актуалните данни получават SMS с код, който въвеждат във фалшивия сайт. Междувременно, трети недобросъвестни лица се сдобиват с потребителското име и парола и инсталират платежния инструмент на  собствено устройство чрез кода, изпратен с SMS до мобилния телефон на потребителя. Въз основа на това те инициират платежна операция, било чрез достъпване на профила на ползвателя в онлайн банкирането и сканиранe на QR код за потвърждаване на трансакцията през апликацията за мобилно банкиране или директно чрез апликацията за мобилно банкиране, инсталирана на съответното мобилно устройство.

За кого е опасен фишингът?

- Фишингът е опасен за небрежния, неинформиран потребител на платежни инструменти. Измамните схеми, които описах, са широко обсъждани в средствата за масова информация и са предмет на информационни кампании от страна на банките. 

Банките информират своите клиенти за възможните заплахи в интернет пространството при използване на платежни инструменти – карти, електронно банкиране, мобилно приложение. Регулативните изисквания по отношение сигурността на плащанията в интернет са много високи спрямо банките, които през последните години въведоха множество процедури и технически способи с цел удостоверяване идентичността на клиента. Клиентите следва да познават мерките за сигурност и да повишават своята финансова култура.

Въпросът е залегнал и в стратегията на Европейския съюз за плащанията на дребно, като в предстоящата ревизия на директивата за платежните услуги може да бъдат включени допълнителни технически изисквания, които да направят този вид измами по-трудни.

SMS-известието ли е най-сигурната защита?

SMS-ът като средство, чрез което банката предоставя еднократния динамичен код за нареждане на плащане е по-често използван. Но зачестяват случаите на издаване на дубликат на СИМ карта на мобилен телефон чрез измама. Отново потребителят  става обект на „фишинг“ атака, като е подведен да предостави на трети недобросъвестни лица персоналните защитни характеристики за онлайн банкирането си, както и номера на мобилния си телефон.  Въз основа на това става възможно да бъде издаден дубликат на СИМ карта. 

Когато се нарежда измамната операция, оригиналната СИМ картата на мобилния телефон спира да работи и динамичният код се получава на дубликата. Изследването показва, че в тези случаи банката е приложила законовите изисквания за задълбочено установяване на идентичността на платеца. Но издаването на дубликат на СИМ картата „компрометира“ процеса по установяване на тази идентичност. Смятам за наложително да се изяснят  и регламентират отношенията между банките и мобилните оператори, чрез посредничеството на АББ, с цел предотвратяване на измами и гарантиране на издаването на дубликати на СИМ карти в сигурна среда.

Свидетели сме на все по-широко използване на мобилни приложения, които използват биометрия, най-често пръстов отпечатък, за идентификация на клиента. Тези решения са както много удобни за ползване, така и осигуряват високо ниво на сигурност.

 Какво трябва да направи гражданинът, когато установи източване от сметка? До каква сума банката покрива щетите и при какви условия?

 - След узнаването, потребителят трябва незабавно да уведоми банката за неразрешените платежни операции. И ако не постигне доброволно уреждане на спора, има право да сезира ПКПС. Всеки случай се разглежда сам за себе си, но водещото е дали банката прилага двуфакторна идентификация при активиране на платежен  инструмент, нареждане на дистанционна операция по електронен път или чрез банкова карта. И по-конкретно дали предлага елемента знание – потребителско име и парола; и елемента притежание – устройство (SIM карта, софтуерен токън), чието притежание е удостоверено с еднократен код, изпратен на регистрирания в банката номер на мобилен телефон на клиента.  Ако банката е изпълнила коректно тези изисквания и те не страдат от технологични недостатъци, рискът от неразрешените платежни операции е изцяло за потребителя. И обратното, ако банката не прилага двуфакторна идентификация, респ. процедурите формално покриват регулаторните изисквания за задълбочено установяване на идентичността на клиента, но в същото време не гарантират изцяло неговата позитивна идентификация, банката следва да възстанови стойността на неразрешените платежни операции независимо от размера им.

Кои са най-честите типове платежни спорове, заради които гражданите се обръщат към комисията? 

- През изминалите години се открояват спорове от интернет измами. Срещат се, макар и нетолкова често, „класическите“ случаи на неоторизирани операции вследствие на неправомерно присвояване на данните от лица от най-близкия личен или професионален кръг на ползвателя на платежния инструмент (family fraud). 

Както полагаме грижа за опазване на портфейлите си, така трябва да сме предпазливи, когато ни изискват номера на карти, банкови сметки, пароли за достъп в интернет. Има и случаи на нераздадени суми от АТМ, както и грешки при отчитането на внасяне на депозит на АТМ. Обикновено тези случаи са документално доказани от банката и трудно може да се отсъди в полза на клиента. 

Какъв е максималният паричен праг на споровете, които се разглеждат от комисията?

- До края на 2015 г. диапазонът на сумите, които се претендираха за възстановяване беше пределно широк – от един лев до половин милион лева. БНБ прие нов Правилник за дейността на комисията и сега максималният размер на сумите, с които комисията може да бъде сезирана е 25 000 лева. В това е и европейският законодателен замисъл - да се осигури лесен и безплатен достъп до правна помощ на граждани и търговци, ощетени с дребни суми, за да не водят съдебни дела.

Колко средно трае разглеждането на спор пред комисията?

- Комисията е длъжна да се произнесе по спора в срок до два месеца след като е събрала необходимите документи, експертизи и становища на двете спорещи страни. Средно цялата процедурата от подаване на заявлението до изготвяне на помирително предложение трае около пет-шест месеца.

В колко процента от случаите успявате да постигнете приемливо и за двете страни споразумение?

- Тенденция през последните години е приблизително половината от случаите да  завършат с постигане на споразумение между страните и възстановяване на сумите от страна на банките. 

Но е добре да се знае, че до комисията стигат най-спорните и недоказани случаи. Останалите, банките ги решават сами. Има възражения, които са просто „голи“ твърдения на клиенти. Няма как да ги решим, като прилагаме обща правна рецепта. Тогава влизаме в ролята на медиатор, с цел да намерим разумен компромис между интересите и на двете страни. Това понякога предполага напускане на територията на правните норми и чрез взаимни отстъпки се търси решение на проблема.

Разкажете за някой интересен случай от Вашата практика.

- Представям ви случая не защото е много интересен, а отново с превантивна, възпитателна  цел. 

Клиент дава обява в сайт OLX за продажба на продукт и още същия ден  е подведен от лице, с което протича комуникация през Viber и което  „иска“ да купи неговия продукт. Било му обяснено, че плащането ще се осъществи на сайта OLХ и че с него ще се свърже куриер. Получил подвеждащ линк, който след като отворил, имало логото на OLХ и било изписано, че продуктът е платен, а в долния край на дисплея било изписано получи сумата. След като натиснал, се искало да въведе номера на картата, след това статичния код. След това жалбоподателят получил SMS с код за потвърждение, на който не обърнал внимание, че става въпрос за превеждане на голяма сума. Клиентът разбрал че е излъган, но е поискал Банката да му възстанови парите, което е несъстоятелно. 

Абсурдни са и жалбите на лица, които търгуват с криптовалута да насочват претенцията си след това към банката, тъй като не са получили очакваната печалба от съответната платформа за търговия.

Facebook logo
Бъдете с нас и във